Configurer le contrôle de refus des régions - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer le contrôle de refus des régions

AWS Control Tower propose deux contrôles de refus régionaux. Une commandeGRREGIONDENY, lorsqu'elle est activée, s'applique à l'ensemble de la zone d'atterrissage. Une autre commandeCTMULTISERVICEPV1, lorsqu'elle est activée, peut s'appliquer à des unités d'organisation spécifiques que vous spécifiez. Pour plus d’informations, consultez Refuser l'accès AWS en fonction de la AWS région demandée et Contrôle de refus de région appliqué à l'UO.

La Région de refus de contrôle GRREGIONDENY est unique, car elle s'applique à la zone d'atterrissage dans son ensemble, plutôt qu'à une unité d'organisation spécifique. Pour configurer le refus de contrôle par région, rendez-vous sur la page des paramètres de la zone d'atterrissage et sélectionnez Modifier les paramètres.

  • Ce paramètre peut être modifié ultérieurement.

  • Lorsqu'elle est activée, cette commande s'applique à toutes les unités d'organisation enregistrées.

  • Ce contrôle ne peut pas être configuré pour des unités d'organisation individuelles.

Note

Avant d'activer le refus de contrôle par région, assurez-vous que vous ne disposez pas de ressources existantes dans ces régions, car vous n'aurez pas accès à vos ressources une fois le contrôle appliqué. Tant que le contrôle est activé, vous ne pourrez pas déployer de ressources dans les régions interdites.

Le refus de contrôle de la région interdit l'accès aux AWS services, en fonction de la configuration de votre région AWS Control Tower. Il refuse l'accès aux AWS régions dont le statut est Non gouverné. Le refus de contrôle de la région refuse également l'accès aux régions dans lesquelles AWS Control Tower n'est pas disponible. Vous ne pouvez pas refuser l'accès à votre région d'origine. Certains AWS services internationaux, tels que IAM et AWS Organizations, sont exemptés du refus de contrôle de la Région. Pour en savoir plus, veuillez consulter la section Refuser l'accès AWS en fonction de la AWS région demandée.

Lorsque vous activez le contrôle, il s'applique à toutes les unités d'organisation de niveau supérieur enregistrées dans votre hiérarchie, et il est hérité par les unités d'organisation situées plus bas dans la chaîne. Lorsque vous supprimez le contrôle, il est supprimé sur toutes les unités d'organisation enregistrées, toutes les régions non gouvernées d'AWS Control Tower conservent le statut Non gouvernées et vous pouvez déployer des ressources dans des régions où AWS Control Tower n'est pas disponible.

  • Nom du contrôle complet : refuser l'accès AWS en fonction de la AWS région demandée

  • Description du garde-corps : interdit l'accès aux opérations non répertoriées dans les services mondiaux et régionaux en dehors des régions spécifiées.

  • Il s'agit d'un contrôle électif avec des conseils préventifs.

Pour consulter le modèle du SCP Region Deny Control, consultez la Refuser l'accès AWS en fonction de la AWS région demandée référence AWS Control Tower Guardrail. Le SCP d'AWS Control Tower est similaire au SCP de AWS Organizations, mais il n'est pas identique.

Vous pouvez déterminer les points de terminaison des services régionaux sur la page des services régionaux.